Guías técnicas

Representar múltiples túneles IPsec como un único interfaz

Cada vez es más frecuente encontrar en las organizaciones escenarios que requieren el intercambio de información de modo seguro con sedes distribuidas, a través de caminos redundados o incluso con diversidad de operadores de Internet, de forma que la comunicación entre estas sedes esté siempre disponible. En este sentido, la versión 6.2 de FortiOS que va a ser liberada de forma inminente (que, como en cada nueva reléase, incorporará una gran cantidad de nuevas y muy atractivas funcionalidades) habilitará en los equipos de FortiGate una nueva manera de establecer comunicaciones cifradas con un extremo remoto, balanceando el tráfico entre los túneles.

Con la nueva funcionalidad denominada “Represent Multiple IPsec Tunnels as a Single Interface”, se podrá crear una interfaz agregada estática utilizando los túneles IPsec como miembros, con balanceo de tráfico entre ellos. Se podrá asignar una dirección IP a la interfaz agregada, así como incluirla como interfaz miembro en SD-WAN. Los algoritmos de balanceo de carga soportados son: L3 (sesión IP), L4 (sesión TCP), round-robin (por defecto) y tráfico redundante.

Para definir este nuevo tipo de interfaz IPsec agregado será necesario realizar los siguientes pasos:

1) Crear una interfaz VPN fase 1 con ‘net-device’ deshabilitado para los túneles:

config vpn ipsec phase1-interface
  edit tunnel1
    set interface port1
    set net-device disable
    set remote-ge 172.16.100.1
    set psksecret sample
  next
  edit tunnel2
    set interface port2
    set net-device disable
    set remote-ge 172.31.1.1
    set psksecret sample
  next
end

2) Configurar la agregación IPsec de los túneles:

config system ipsec-aggregate
  edit agg1
    set member tunnel1 tunnel2
  next
end

3) Configurar una política de seguridad para el tráfico a cursar por ese agregado, por ejemplo:

config firewall policy
  edit 0
    set srcaddr all
    set srcintf port10
    set dstaddr all
    set dstintf agg1
    set schedule always
    set action accept
    set service ALL
  next
end 

4) Configurar una ruta estática:

config router static
  edit 0
    set device agg1
  next
end

Se podrá obtener información de debug de la lista de túneles IPsec agregados con la ejecución de:

#diagnose sys ipsec-aggregate list
  agg1 algo=RR member=2 run_tally=2
  members:
    tunnel1
    tunnel2

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *